๋ณด์คํด๋ํ๊ต ์ฐ๊ตฌ์ง
(CVE-2019-11728),
Alt-Svc ํค๋๋ฅผ ์ฌ์ฉํ๋ฉด ์๋ฒ๋ ์ฌ์ดํธ์ ์ก์ธ์คํ๋ ๋์ฒด ๋ฐฉ๋ฒ์ ๊ฒฐ์ ํ๊ณ ๋ก๋ ๋ฐธ๋ฐ์ฑ ๋ฑ์ ์ํด ์์ฒญ์ ์ ํธ์คํธ๋ก ๋ฆฌ๋๋ ์ ํ๋๋ก ๋ธ๋ผ์ฐ์ ์ ์ง์ํ ์ ์์ต๋๋ค. ์ ๋ฌ์ ์ํด ๋คํธ์ํฌ ํฌํธ๋ฅผ ์ง์ ํ ์๋ ์์ต๋๋ค. ์๋ฅผ ๋ค์ด 'Alt-Svc: http/1.1="other.example.com:443";ma=200'์ ์ง์ ํ๋ฉด ํด๋ผ์ด์ธํธ๊ฐ other.example ํธ์คํธ์ ์ฐ๊ฒฐํ๋๋ก ์ง์ํฉ๋๋ค. .org๋ฅผ ์ฌ์ฉํ์ฌ ๋คํธ์ํฌ ํฌํธ 443 ๋ฐ HTTP/1.1 ํ๋กํ ์ฝ์ ์ฌ์ฉํ์ฌ ์์ฒญ๋ ํ์ด์ง๋ฅผ ์์ ํฉ๋๋ค. "ma" ๋งค๊ฐ๋ณ์๋ ์ต๋ ๋ฆฌ๋๋ ์ ๊ธฐ๊ฐ์ ์ง์ ํฉ๋๋ค. HTTP/1.1 ์ธ์๋ HTTP/2-over-TLS(h2), HTTP/2-over plain text(h2c), UDP๋ฅผ ์ฌ์ฉํ๋ SPDY(spdy), QUIC(quic) ๋ฑ์ด ํ๋กํ ์ฝ๋ก ์ง์๋ฉ๋๋ค.
์ฃผ์๋ฅผ ์ค์บํ๊ธฐ ์ํด ๊ณต๊ฒฉ์ ์ฌ์ดํธ๋ ๋ฐ๋ณต๋๋ ์์ฒญ ์ฌ์ด์ ์ง์ฐ์ ์ ํธ๋ก ์ด์ฉํ์ฌ ๋ด๋ถ ๋คํธ์ํฌ ์ฃผ์์ ๊ด์ฌ ์๋ ๋คํธ์ํฌ ํฌํธ๋ฅผ ์์ฐจ์ ์ผ๋ก ๊ฒ์ํ ์ ์์ต๋๋ค.
๋ฆฌ๋๋ ์
๋ ๋ฆฌ์์ค๋ฅผ ์ฌ์ฉํ ์ ์๋ ๊ฒฝ์ฐ ๋ธ๋ผ์ฐ์ ๋ ์ฆ์ ์๋ต์ผ๋ก RST ํจํท์ ์์ ํ๊ณ ์ฆ์ ๋์ฒด ์๋น์ค๋ฅผ ์ฌ์ฉํ ์ ์๋ ๊ฒ์ผ๋ก ํ์ํ๊ณ ์์ฒญ์ ์ง์ ๋ ๋ฆฌ๋๋ ์
์๋ช
์ ์ฌ์ค์ ํฉ๋๋ค.
๋คํธ์ํฌ ํฌํธ๊ฐ ์ด๋ ค ์์ผ๋ฉด ์ฐ๊ฒฐ์ ์๋ฃํ๋ ๋ฐ ์๊ฐ์ด ๋ ๊ฑธ๋ฆฌ๊ณ (ํด๋น ํจํท ๊ตํ์ผ๋ก ์ฐ๊ฒฐ์ ์ค์ ํ๋ ค๊ณ ์๋ํจ) ๋ธ๋ผ์ฐ์ ๊ฐ ์ฆ์ ์๋ตํ์ง ์์ต๋๋ค.
ํ์ธ์ ๋ํ ์ ๋ณด๋ฅผ ์ป๊ธฐ ์ํด ๊ณต๊ฒฉ์๋ Alt-Svc ํค๋์์ ๊ณต๊ฒฉ์์ ์คํ ํธ์คํธ๋ฅผ ์ฐธ์กฐํ๋ ๋ ๋ฒ์งธ ํ์ด์ง๋ก ์ฌ์ฉ์๋ฅผ ์ฆ์ โโ๋ฆฌ๋๋ ์ ํ ์ ์์ต๋๋ค. ํด๋ผ์ด์ธํธ์ ๋ธ๋ผ์ฐ์ ๊ฐ ์ด ํ์ด์ง์ ์์ฒญ์ ๋ณด๋ด๋ ๊ฒฝ์ฐ ์ฒซ ๋ฒ์งธ Alt-Svc ์์ฒญ ๋ฆฌ๋๋ ์ ์ด ์ฌ์ค์ ๋์์ผ๋ฉฐ ํ ์คํธ ์ค์ธ ํธ์คํธ์ ํฌํธ๋ฅผ ์ฌ์ฉํ ์ ์๋ค๊ณ ๊ฐ์ ํ ์ ์์ต๋๋ค. ์์ฒญ์ด ์์ ๋์ง ์์ผ๋ฉด ์ฒซ ๋ฒ์งธ ๋ฆฌ๋๋ ์ ์ ๋ํ ๋ฐ์ดํฐ๊ฐ ์์ง ๋ง๋ฃ๋์ง ์์์ผ๋ฉฐ ์ฐ๊ฒฐ์ด ์ค์ ๋ ๊ฒ์ ๋๋ค.
์ด ๋ฐฉ๋ฒ์ ์ฌ์ฉํ๋ฉด ๋ฉ์ผ ์๋ฒ ํฌํธ์ ๊ฐ์ด ๋ธ๋ผ์ฐ์ ์์ ๋ธ๋๋ฆฌ์คํธ์ ์ถ๊ฐํ ๋คํธ์ํฌ ํฌํธ๋ฅผ ํ์ธํ ์๋ ์์ต๋๋ค. ํผํด์ ํธ๋ํฝ์ iframe ๋์ฒด์ Firefox์ฉ Alt-Svc ๋ฐ Chrome์ UDP ํฌํธ ์ค์บ์ ์ํ QUIC์ HTTP/2 ํ๋กํ ์ฝ์ ์ฌ์ฉํ์ฌ ์ค์ ๊ณต๊ฒฉ์ด ์ค๋น๋์์ต๋๋ค. Tor ๋ธ๋ผ์ฐ์ ์์๋ ๋ด๋ถ ๋คํธ์ํฌ ๋ฐ ๋ก์ปฌ ํธ์คํธ์ ์ปจํ
์คํธ์์ ๊ณต๊ฒฉ์ ์ฌ์ฉํ ์ ์์ง๋ง Tor ์ถ๊ตฌ ๋
ธ๋๋ฅผ ํตํด ์ธ๋ถ ํธ์คํธ์ ๋ํ ์๋ฐํ ์ค์บ๋์ ๊ตฌ์ฑํ๋ ๋ฐ ์ ํฉํฉ๋๋ค. ์ด๋ฏธ ํฌํธ ์ค์บ๋์ ๋ฌธ์ ๊ฐ ์์ต๋๋ค
Alt-Svc ํค๋๋ฅผ ์ฌ์ฉํ ์๋ ์์ต๋๋ค.
- DDoS ๊ณต๊ฒฉ์ ์กฐ์งํ ๋. ์๋ฅผ ๋ค์ด TLS์ ๊ฒฝ์ฐ ์ด๊ธฐ ํด๋ผ์ด์ธํธ ์์ฒญ์ 60๋ฐ์ดํธ๊ฐ ๊ฑธ๋ฆฌ๊ณ ์ธ์ฆ์์ ๋ํ ์๋ต์ ์ฝ 500KB์ด๋ฏ๋ก ๋ฆฌ๋๋ ์
์ 30๋ฐฐ์ ์ด๋ ์์ค์ ์ ๊ณตํ ์ ์์ต๋๋ค. ์ฌ๋ฌ ํด๋ผ์ด์ธํธ ์์คํ
์ ๋ฃจํ์์ ์ ์ฌํ ์์ฒญ์ ์์ฑํ๋ฉด ์๋ฒ์์ ์ฌ์ฉํ ์ ์๋ ๋คํธ์ํฌ ๋ฆฌ์์ค๊ฐ ๊ณ ๊ฐ๋ ์ ์์ต๋๋ค.
- ์ธ์ดํ ๋ธ๋ผ์ฐ์ง๊ณผ ๊ฐ์ ์๋น์ค์์ ์ ๊ณตํ๋ ํผ์ฑ ๋ฐฉ์ง ๋ฐ ๋งฌ์จ์ด ๋ฐฉ์ง ๋ฉ์ปค๋์ฆ์ ์ฐํํ๊ธฐ ์ํด(์ ์ฑ ํธ์คํธ๋ก ๋ฆฌ๋๋ ์ ํด๋ ๊ฒฝ๊ณ ๊ฐ ๋ฐ์ํ์ง ์์)
- ์ฌ์ฉ์ ์์ง์ ์ถ์ ์ ๊ตฌ์ฑํฉ๋๋ค. ์ด ๋ฐฉ๋ฒ์ ํต์ฌ์ Alt-Svc์์ ์ถ์ ๋ฐฉ์ง ๋๊ตฌ์ ํฌํจ ์ฌ๋ถ์ ๊ด๊ณ์์ด ํธ์ถ๋๋ ์ธ๋ถ ์์ง์ ์ถ์ ํธ๋ค๋ฌ๋ฅผ ์ฐธ์กฐํ๋ iframe์ ๋์ฒดํ๋ ๊ฒ์
๋๋ค. ์ ์ก ํธ๋ํฝ์ ๋ํ ํ์ ๋ถ์๊ณผ ํจ๊ป Alt-Svc(์๋ณ์๋ก ์์ IP:ํฌํธ)์ ๊ณ ์ ์๋ณ์๋ฅผ ์ฌ์ฉํ์ฌ ๊ณต๊ธ์ ์์ค์์ ์ถ์ ํ๋ ๊ฒ๋ ๊ฐ๋ฅํฉ๋๋ค.
- ์ด๋ ์ด๋ ฅ ์ ๋ณด๋ฅผ ๊ฒ์ํฉ๋๋ค. Alt-Svc๋ฅผ ์ฌ์ฉํ๋ ํน์ ์ฌ์ดํธ์ ์ด๋ฏธ์ง๋ฅผ ์์ฒญ๊ณผ ํจ๊ป iframe ํ์ด์ง์ ์ฝ์ ํ๊ณ ํธ๋ํฝ์ Alt-Svc ์ํ๋ฅผ ๋ถ์ํจ์ผ๋ก์จ ์ ์ก ํธ๋ํฝ์ ๋ถ์ํ ์ ์๋ ๊ณต๊ฒฉ์๋ ์ฌ์ฉ์๊ฐ ์ด์ ์ ์ง์ ๋ ์ฌ์ดํธ๋ฅผ ๋ฐฉ๋ฌธํ ์ ์ด ์๋ค๊ณ ๊ฒฐ๋ก ์ ๋ด๋ฆด ์ ์์ต๋๋ค. ๋์ง;
- ์นจ์ ํ์ง ์์คํ ์ ์๋๋ฌ์ด ๋ก๊ทธ. Alt-Svc๋ฅผ ํตํด ์ฌ์ฉ์๋ฅผ ๋์ ํ์ฌ ์ ์ฑ ์์คํ ์ ์์ฒญ ๋ฌผ๊ฒฐ์ ์ผ์ผํค๊ณ ํ์ ๊ณต๊ฒฉ์ผ๋ก ์์ฅํ์ฌ ์ผ๋ฐ ๋ณผ๋ฅจ์์ ์ค์ ๊ณต๊ฒฉ์ ๋ํ ์ ๋ณด๋ฅผ ์จ๊ธธ ์ ์์ต๋๋ค.
์ถ์ฒ : opennet.ru